LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@karuking0105

【SAS対策】Identity Federation, Active Directory (AD)との連携

Last updated at Posted at 2025-08-18

はじめに

フェデレーションとは

  • フェデレーション = 外部の認証基盤を使ってAWSにログイン/利用できる仕組み
  • ユーザーをAWS IAM内で個別に作らずに、社内の Active Directory (AD) や SAML 2.0 IdP (Okta, Azure ADなど) と連携できる
  1. ユーザーは外部IdP(例: 社内AD、AzureAD、Okta)にサインイン
  2. IdPが SAMLアサーション を発行
  3. AWS IAMロールとマッピングされ、一時的なSTSトークンを発行
  4. ユーザーはAWSコンソールやAPIを利用可能

Microsoft Active Directory (AD) とは

  • Windows Serverに搭載されているディレクトリサービス
    • ディレクトリサービス:ネットワーク上のリソース(ユーザー、コンピューター、プリンターなど)を管理するためのデータベースのようなもの
  • ユーザーアカウント、グループ、コンピュータ、プリンターなどの情報を一元的に管理できる

1. IAM + SAML フェデレーション

  • AWSに直接ユーザーを作らず、外部IdP(AD FS, Okta, Azure ADなど) からのSAML認証で一時的にAWSにアクセス
  • STS(Security Token Service) を利用して一時的な認証情報を払い出す
  • 主に「社内認証基盤を持っていて、そのユーザーにAWSを使わせたい」ケース
  • 例:社内ADユーザーがSAML経由でAWSコンソールにログイン

2. AWS Cognito

  • アプリケーション開発者向けのID基盤
  • Web/モバイルアプリに「サインアップ」「ログイン」「パスワード管理」機能を追加できる
  • SAML/OIDC連携にも対応 → 外部IdP(Google, Facebook, Azure ADなど)とつなげられる
  • アプリユーザー(顧客や従業員)を管理するのが目的
  • 例:ECサイトのユーザーが「Googleアカウントでログイン」できるようにする

3. AWS IAM Identity Center (旧 AWS SSO)

  • 複数AWSアカウントやSaaSアプリへのシングルサインオン基盤
  • 外部IdP(Azure AD, Oktaなど)とSAML連携できる
  • IAMユーザーを個別に作らなくても、AWS環境をまとめて認証・認可できる
  • AWS Organizationsと統合して、大規模マルチアカウント管理に強い
  • 例:全社で使う100アカウントに対し、各部門の社員が1回ログインで必要なAWSアカウントにアクセス

4. AWS Directory Service

  • Active DirectoryをAWS上で利用できるマネージドサービス
  • 社内ADをクラウドに拡張したり、完全マネージドのADをAWS上に構築可能
  • WorkSpaces や AppStream など、Windows系のサービス利用時に便利
  • AD FSを使えばSAML連携でAWSログインも可能
  • 例:社内のWindowsログインと同じアカウントでWorkSpacesにサインイン

AWS Managed Microsoft AD

  • AWS独自のADサービス、Microsoft ADをフルマネージドでAWSに構築
  • オンプレミスADとAWS Managed Microsoft AD間でトラスト接続することで、どちらか一方でログインすれば、どちらのADサービスも利用できる
  • AWS上でActive Directory環境を構築・運用したい場合に使用

AD Connector

  • オンプレミスのADにリダイレクトするディレクトリゲートウェイ(プロキシ)
  • ユーザはオンプレミスADで管理
  • 既存のActive DirectoryをAWSに接続したい場合に使用

Simple AD

  • 簡易的なAD互換ディレクトリ
  • オンプレミスADとの連携は出来ない

使い分け

サービス 主な用途 認証対象 外部IdP連携 試験での押さえどころ
IAM + SAML 社内認証基盤をAWSにフェデレーション 社員 〇 (SAML2.0) STSで一時クレデンシャル発行
Cognito アプリのユーザー管理(顧客・従業員向けアプリ) アプリ利用者 〇 (SAML, OIDC, SNS連携) アプリ開発時の認証・認可
IAM Identity Center 複数AWSアカウント・SaaSへのSSO 社員 〇 (SAML) マルチアカウント認証管理
Directory Service AWS上のActive Directory 社員(Windows環境) 〇 (AD FS経由でSAML) Windows統合・WorkSpaces連携

例えるなら

  • IAM+SAML:AWSの玄関に「社員証をかざす仕組み」を後付け
  • Cognito:アプリに「会員登録・ログイン機能」を追加する仕組み
  • IAM Identity Center:AWSやSaaSを「シングルサインオンでまとめて管理」する仕組み
  • Directory Service:社内ADをクラウドに伸ばして「Windows系アプリと統合」する仕組み
0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?